기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 명명된 리소스 메서드를 사용하여 데이터 권한 부여
명명된 Data Catalog 리소스 메서드는 중앙 집중식 접근 방식을 사용하여 카탈로그, 데이터베이스, 테이블, 열 및 보기와 같은 AWS Glue Data Catalog 객체에 권한을 부여하는 방법입니다. 이를 통해 데이터 레이크 내의 특정 리소스에 대한 액세스를 제어하는 리소스 기반 정책을 정의할 수 있습니다.
명명된 리소스 메서드를 사용하여 권한을 부여할 경우 리소스 유형과 해당 리소스에 대해 부여하거나 취소할 권한을 지정할 수 있습니다. 필요한 경우 나중에 권한을 취소하여 연결된 리소스에서 권한을 제거할 수도 있습니다.
AWS Lake Formation 콘솔, APIs 또는 AWS Command Line Interface ()를 사용하여 권한을 부여할 수 있습니다AWS CLI.
**Topics**
+ [명명된 리소스 메서드를 사용하여 카탈로그 권한 부여](granting-multi-catalog-permissions.md)
+ [Granting database permissions using the named resource method](granting-database-permissions.md)
+ [명명된 리소스 방법을 사용하여 테이블 권한 부여](granting-table-permissions.md)
+ [명명된 리소스 방법을 사용하여 뷰에 대한 권한 부여](granting-view-permissions.md)
# 명명된 리소스 메서드를 사용하여 카탈로그 권한 부여
다음 단계는 명명된 리소스 메서드를 사용하여 카탈로그 권한을 부여하는 방법을 설명합니다.
------
#### [ Console ]
Lake Formation 콘솔에서 **권한 부여** 페이지를 사용합니다. 이 페이지는 다음과 같은 섹션으로 구성되어 있습니다.
+ **보안 주체 유형** - 특정 보안 주체에 권한을 부여하거나 속성 태그를 사용할 수 있습니다.
+ **보안 주체** - 권한을 부여할 IAM 사용자, 역할, IAM Identity Center 사용자 및 그룹, SAML 사용자 및 그룹, AWS 계정, 조직 또는 조직 단위입니다.
**속성별 보안 주체** - IAMroles 또는 IAM 세션 태그에서 태그 키-값 페어를 추가합니다. 일치하는 속성이 있는 보안 주체는 지정된 리소스에 액세스할 수 있습니다.
+ **LF 태그 또는 카탈로그 리소스** - 권한을 부여할 카탈로그, 데이터베이스, 테이블, 보기 또는 리소스 링크입니다.
+ **권한** - 부여할 Lake Formation 권한.
**참고**
데이터베이스 리소스 링크에 대한 권한을 부여하려면 [리소스 링크 권한 부여](granting-link-permissions.md) 섹션을 참조하세요.
1. **권한 부여** 페이지를 엽니다.
[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) AWS Lake Formation 콘솔을 열고 데이터 레이크 관리자, 카탈로그 생성자 또는 카탈로그에 **부여 가능한 권한이** 있는 IAM 사용자로 로그인합니다.
다음 중 하나를 수행하세요.
+ 탐색 창의 **권한**에서 **데이터 권한**을 선택합니다. 그런 다음 **권한 부여**를 선택합니다.
+ 탐색 창의 **Data Catalog**에서 **카탈로그**를 선택합니다. 그런 다음 **카탈로그** 페이지에서 카탈로그를 선택하고 **작업** 메뉴의 **권한**에서 **권한 부여**를 선택합니다.
**참고**
리소스 링크를 통해 카탈로그에 대한 권한을 부여할 수 있습니다. 이렇게 하려면 **카탈로그** 페이지에서 카탈로그 링크 컨테이너를 선택하고 **작업** 메뉴에서 **대상에 부여**를 선택합니다. 자세한 내용은 [Lake Formation에서 리소스 링크가 작동하는 방식](resource-links-about.md) 단원을 참조하십시오.
1. 그런 다음 **보안 주체 유형** 섹션에서 보안 주체를 선택하거나 보안 주체에 연결된 속성을 지정합니다.
![\[보안 주체 유형 섹션에는 가로로 배열된 2개의 타일이 있으며, 각 타일에는 옵션 버튼과 설명 텍스트가 있습니다. 옵션은 보안 주체 및 속성별 보안 주체입니다. 제목 아래에 보안 주체가 있습니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/grant-catalog-principal-type.png)
****보안 주체 지정****
**IAM 사용자 및 역할**
**IAM 사용자 및 역할** 목록에서 하나 이상의 사용자 또는 역할을 선택합니다.
**IAM Identity Center**
**사용자 및 그룹** 목록에서 하나 이상의 사용자 또는 그룹을 선택합니다. 사용자 또는 그룹을 더 추가하려면 **추가**를 선택합니다.
**SAML 사용자 및 그룹**
**SAML 및 빠른 사용자 및 그룹의** 경우 SAML을 통해 페더레이션된 사용자 또는 그룹의 경우 하나 이상의 Amazon 리소스 이름(ARNs)을 입력하고 Amazon Quick 사용자 또는 그룹의 경우 ARNs 입력합니다. 각 ARN을 입력한 후에 Enter 키를 누릅니다.
ARN을 구성하는 방법에 대한 자세한 내용은 [Lake Formation 권한 부여 및 취소 AWS CLI 명령](lf-permissions-reference.md#perm-command-format) 섹션을 참조하세요.
Quick과의 Lake Formation 통합은 Quick Enterprise Edition에서만 지원됩니다.
**외부 계정**
**AWS 계정, AWS organization** 또는 **IAM 보안 주체**에 IAM 사용자 또는 역할에 유효한 계정 IDs, 조직 IDs, 조직 단위 IDs 또는 ARN을 하나 이상 AWS 입력합니다. 각 ID를 입력한 후에 **Enter** 키를 누릅니다.
조직 ID는 'o-'와 10\$132개의 소문자 또는 숫자로 구성됩니다.
조직 단위 ID는 'ou-'로 시작하고 뒤에 4\$132개의 소문자 또는 숫자가 옵니다(OU가 포함된 루트의 ID). 이 문자열 뒤에는 두 번째 '-' 대시와 8\$132개의 추가 소문자 또는 숫자가 옵니다.
****속성별 보안 주체****
**속성**
IAM 역할에서 IAM 태그 키-값 페어를 추가합니다.
**권한 범위**
동일한 계정 또는 다른 계정에서 일치하는 속성을 가진 보안 주체에 권한을 부여하는지 지정합니다.
1. **LF 태그 또는 카탈로그 리소스** 섹션에서 **명명된 데이터 카탈로그 리소스**를 선택합니다.
![\[LF 태그 또는 카탈로그 리소스 섹션에는 가로로 배열된 두 개의 타일이 있으며, 각 타일에는 옵션 버튼과 설명 텍스트가 있습니다. 옵션은 LF 태그와 일치하는 리소스 및 명명된 데이터 카탈로그 리소스입니다. 타일 아래에는 데이터베이스와 테이블이라는 두 개의 드롭다운 목록이 있습니다. 데이터베이스 드롭다운 목록 아래에는 선택한 데이터베이스 이름이 포함된 타일이 있습니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/grant-target-resources-catalog.png)
1. 카탈로그 목록에서 **카탈로그**를 하나 이상 선택합니다. 하나 이상의 **데이터베이스**, **테이블** 및/또는 **데이터 필터**를 선택할 수도 있습니다.
1. **카탈로그 권한** 섹션에서 권한 및 부여 가능한 권한을 선택합니다. **카탈로그 권한**에서 부여할 권한을 하나 이상 선택합니다.
![\[권한 섹션에는 카탈로그 권한 타일이 있습니다. 타일 아래에는 부여할 카탈로그 권한에 대한 확인란 그룹이 있습니다. 확인란에는 슈퍼 사용자, 카탈로그 생성, 데이터베이스 생성, 변경, 삭제, 설명 및 슈퍼가 포함됩니다. 해당 그룹 아래에는 부여 가능한 권한을 위한 동일한 확인란으로 구성된 또 다른 그룹이 있습니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/grant-target-catalog-permissions-section.png)
**슈퍼 사용자**를 선택하여 카탈로그 내의 모든 리소스(데이터베이스, 테이블 및 보기)에서 작업을 수행할 수 있는 무제한 관리 권한을 부여합니다.
**참고**
등록된 위치를 가리키는 위치 속성이 있는 카탈로그에 대해 `Create database` 또는 `Alter`를 부여한 후에는 해당 위치에 대한 데이터 위치 권한도 보안 주체에 부여해야 합니다. 자세한 내용은 [데이터 위치 권한 부여](granting-location-permissions.md) 단원을 참조하십시오.
1. (선택 사항) **부여 가능한 권한**에서 권한 부여 수신자가 AWS 계정의 다른 보안 주체에 부여할 수 있는 권한을 선택합니다. 외부 계정에서 IAM 보안 주체에 권한을 부여하는 경우에는 이 옵션이 지원되지 않습니다.
1. **권한 부여**를 선택합니다.
**데이터 권한** 페이지에는 권한 세부 정보가 표시됩니다. **속성별 보안 주체** 옵션을 사용하여 권한을 부여한 경우 목록에서 `ALLPrincipals`에 대한 권한 부여를 볼 수 있습니다.
------
#### [ AWS CLI ]
를 사용하여 카탈로그 권한을 부여하려면 섹션을 AWS CLI참조하세요[Amazon Redshift 페더레이션 카탈로그 생성](create-ns-catalog.md).
------
# Granting database permissions using the named resource method
다음 단계는 명명된 리소스 방법을 사용하여 데이터베이스 권한을 부여하는 방법을 설명합니다.
------
#### [ Console ]
Lake Formation 콘솔에서 **권한 부여** 페이지를 사용합니다. 이 페이지는 다음과 같은 섹션으로 구성되어 있습니다.
+ **보안 주체 유형** - **보안 주체** 섹션에는 권한을 부여할 IAM 사용자, 역할, IAM Identity Center 사용자 및 그룹, SAML 사용자 및 그룹, AWS 계정, 조직 또는 조직 단위가 포함됩니다. **속성별 보안 주체** 섹션에서 IAM 역할에 연결된 속성의 키와 값을 지정할 수 있습니다.
+ **LF 태그 또는 카탈로그 리소스** - 권한을 부여할 데이터베이스, 테이블, 뷰 또는 리소스 링크입니다.
+ **권한** - 부여할 Lake Formation 권한.
**참고**
데이터베이스 리소스 링크에 대한 권한을 부여하려면 [리소스 링크 권한 부여](granting-link-permissions.md) 섹션을 참조하세요.
1. **권한 부여** 페이지를 엽니다.
[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) AWS Lake Formation 콘솔을 열고 데이터 레이크 관리자, 데이터베이스 생성자 또는 데이터베이스에 **대한 부여 가능한 권한이** 있는 IAM 사용자로 로그인합니다.
다음 중 하나를 수행하세요.
+ 탐색 창의 **권한**에서 **데이터 권한**을 선택합니다. 그런 다음 **권한 부여**를 선택합니다.
+ 탐색 창의 **데이터 카탈로그**에서 **데이터베이스**를 선택합니다. 그런 다음 **데이터베이스** 페이지에서 데이터베이스를 선택하고 **작업** 메뉴의 **권한**에서 **권한 부여**를 선택합니다.
**참고**
리소스 링크를 통해 데이터베이스에 대한 권한을 부여할 수 있습니다. 이렇게 하려면 **데이터베이스** 페이지에서 리소스 링크를 선택하고 **작업** 메뉴에서 **대상에 부여**를 선택합니다. 자세한 내용은 [Lake Formation에서 리소스 링크가 작동하는 방식](resource-links-about.md) 단원을 참조하십시오.
1. **보안 주체 유형** 섹션에서 속성을 사용하여 보안 주체를 지정하거나 보안 주체에 권한을 부여합니다.
![\[보안 주체 섹션에는 4개의 타일이 있습니다. 각 타일에는 옵션 버튼과 텍스트가 있습니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/identity-center-grant-perm.png)
**IAM 사용자 및 역할**
**IAM 사용자 및 역할** 목록에서 하나 이상의 사용자 또는 역할을 선택합니다.
**IAM Identity Center**
**사용자 및 그룹** 목록에서 하나 이상의 사용자 또는 그룹을 선택합니다. 사용자 또는 그룹을 더 추가하려면 **추가**를 선택합니다.
**SAML 사용자 및 그룹**
**SAML 및 빠른 사용자 및 그룹의** 경우 SAML을 통해 페더레이션된 사용자 또는 그룹의 경우 하나 이상의 Amazon 리소스 이름(ARNs)을 입력하고 Amazon Quick 사용자 또는 그룹의 경우 ARNs 입력합니다. 각 ARN을 입력한 후에 Enter 키를 누릅니다.
ARN을 구성하는 방법에 대한 자세한 내용은 [Lake Formation 권한 부여 및 취소 AWS CLI 명령](lf-permissions-reference.md#perm-command-format) 섹션을 참조하세요.
Quick과의 Lake Formation 통합은 Quick Enterprise Edition에서만 지원됩니다.
**외부 계정**
**AWS 계정, AWS organization** 또는 **IAM 보안 주체**에 IAM 사용자 또는 역할에 유효한 계정 IDs, 조직 IDs, 조직 단위 IDs 또는 ARN을 하나 이상 AWS 입력합니다. 각 ID를 입력한 후에 **Enter** 키를 누릅니다.
조직 ID는 'o-'와 10\$132개의 소문자 또는 숫자로 구성됩니다.
조직 단위 ID는 'ou-'로 시작하고 뒤에 4\$132개의 소문자 또는 숫자가 옵니다(OU가 포함된 루트의 ID). 이 문자열 뒤에는 두 번째 '-' 대시와 8\$132개의 추가 소문자 또는 숫자가 옵니다.
속성별 보안 주체
속성 키와 값을 지정합니다. 값을 2개 이상 선택하면 OR 연산자가 포함된 속성 표현식이 생성됩니다. 즉, IAM 역할 또는 사용자에게 할당된 속성 태그 값이 일치하는 경우 역할/사용자는 리소스에 대한 액세스 권한을 얻습니다.
동일한 계정 또는 다른 계정에서 일치하는 속성을 가진 보안 주체에 권한을 부여하는지를 지정하여 권한 범위를 선택합니다.
1. **LF 태그 또는 카탈로그 리소스** 섹션에서 **명명된 데이터 카탈로그 리소스**를 선택합니다.
![\[LF 태그 또는 카탈로그 리소스 섹션에는 가로로 배열된 두 개의 타일이 있으며, 각 타일에는 옵션 버튼과 설명 텍스트가 있습니다. 옵션은 LF 태그와 일치하는 리소스 및 명명된 데이터 카탈로그 리소스입니다. 타일 아래에는 데이터베이스와 테이블이라는 두 개의 드롭다운 목록이 있습니다. 데이터베이스 드롭다운 목록 아래에는 선택한 데이터베이스 이름이 포함된 타일이 있습니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/grant-target-resources-section-2.png)
1. **데이터베이스** 목록에서 데이터베이스를 하나 이상 선택합니다. 하나 이상의 **테이블** 및/또는 **데이터 필터**를 선택할 수도 있습니다.
1. **권한** 섹션에서 권한 및 부여 가능한 권한을 선택합니다. **데이터베이스 권한**에서 부여할 권한을 하나 이상 선택합니다.
![\[권한 섹션에는 가로로 배열된 두 개의 타일이 있습니다. 각 타일에는 옵션 버튼과 텍스트가 있습니다. 데이터베이스 권한 타일이 선택됩니다. 다른 타일인 열 기반 권한은 테이블 권한과 관련이 있으므로 비활성화됩니다. 타일 아래에는 부여할 데이터베이스 권한에 대한 확인란 그룹이 있습니다. 확인란에는 테이블 생성, 변경, 삭제, 설명 및 슈퍼가 포함됩니다. 해당 그룹 아래에는 부여 가능한 권한을 위한 동일한 확인란으로 구성된 또 다른 그룹이 있습니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/grant-target-db-permissions-section.png)
**참고**
등록된 위치를 가리키는 위치 속성이 있는 데이터베이스에 대해 `Create Table` 또는 `Alter`를 부여한 후에는 해당 위치에 대한 데이터 위치 권한도 보안 주체에 부여해야 합니다. 자세한 내용은 [데이터 위치 권한 부여](granting-location-permissions.md) 단원을 참조하십시오.
1. (선택 사항) **부여 가능한 권한**에서 권한 부여 수신자가 AWS 계정의 다른 보안 주체에 부여할 수 있는 권한을 선택합니다. 외부 계정에서 IAM 보안 주체에 권한을 부여하는 경우에는 이 옵션이 지원되지 않습니다.
1. **권한 부여**를 선택합니다.
------
#### [ AWS CLI ]
명명된 리소스 방법과 AWS Command Line Interface (AWS CLI)를 사용하여 데이터베이스 권한을 부여할 수 있습니다.
**를 사용하여 데이터베이스 권한을 부여하려면 AWS CLI**
+ `grant-permissions` 명령을 실행하고 부여할 권한에 따라 데이터베이스 또는 데이터 카탈로그를 리소스로 지정합니다.
다음 예제에서는 **를 유효한 AWS 계정 ID로 바꿉니다.
**Example - 데이터베이스를 생성할 수 있는 권한 부여**
이 예제는 사용자 `datalake_user1`에게 `CREATE_DATABASE` 권한을 부여합니다. 이 권한이 부여되는 리소스가 데이터 카탈로그이기 때문에 명령은 빈 `CatalogResource` 구조를 `resource` 파라미터로 지정합니다.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
```
**Example - 지정된 데이터베이스에 테이블을 생성할 수 있는 권한 부여**
다음 예제는 데이터베이스 `retail`에 대해 `CREATE_TABLE` 권한을 사용자 `datalake_user1`에게 부여합니다.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```
**Example - 권한 부여 옵션을 사용하여 외부 AWS 계정에 권한 부여**
다음 예제는 데이터베이스 `retail`에 대해 권한 부여 옵션을 사용하여 외부 계정 1111-2222-3333에 `CREATE_TABLE` 권한을 부여합니다.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```
**Example - 조직에 권한 부여**
다음 예제는 데이터베이스 `issues`에 대해 권한 부여 옵션을 사용하여 조직 `o-abcdefghijkl`에 `ALTER` 권한을 부여합니다.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
```
**Example - 동일한 계정의 `ALLIAMPrincipals`에 권한 부여**
다음 예제는 동일한 계정의 모든 보안 주체에게 데이터베이스 `retail`에 대한 `CREATE_TABLE` 권한을 부여합니다. 이 옵션을 사용하면 계정의 모든 보안 주체가 데이터베이스에 테이블을 생성하고 통합 쿼리 엔진이 공유 데이터베이스 및 테이블에 액세스할 수 있도록 테이블 리소스 링크를 생성할 수 있습니다. 이 옵션은 보안 주체가 교차 계정 권한 부여를 받았지만 리소스 링크를 생성할 권한이 없는 경우에 특히 유용합니다. 이 시나리오에서 데이터 레이크 관리자는 자리 표시자 데이터베이스를 생성하고 `ALLIAMPrincipal` 그룹에 `CREATE_TABLE` 권한을 부여하여 계정 내 모든 IAM 보안 주체가 자리 표시자 데이터베이스에 리소스 링크를 생성할 수 있도록 할 수 있습니다.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}'
```
**Example - 외부 계정의 `ALLIAMPrincipals`에 권한 부여**
다음 예제는 외부 계정의 모든 보안 주체에게 데이터베이스 `retail`에 대한 `CREATE_TABLE` 권한을 부여합니다. 이 옵션을 사용하면 계정의 모든 보안 주체가 데이터베이스에 테이블을 생성할 수 있습니다.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
```
**참고**
등록된 위치를 가리키는 위치 속성이 있는 데이터베이스에 대해 `CREATE_TABLE` 또는 `ALTER`를 부여한 후에는 해당 위치에 대한 데이터 위치 권한도 보안 주체에 부여해야 합니다. 자세한 내용은 [데이터 위치 권한 부여](granting-location-permissions.md) 단원을 참조하십시오.
------
**다음 사항도 참조하세요.**
[Lake Formation 권한 참조](lf-permissions-reference.md)
[계정과 공유되는 데이터베이스 또는 테이블에 대한 권한 부여](regranting-shared-resources.md)
[공유 데이터 카탈로그 테이블 및 데이터베이스 액세스 및 보기](viewing-shared-resources.md)
# 명명된 리소스 방법을 사용하여 테이블 권한 부여
Lake Formation 콘솔 또는를 사용하여 데이터 카탈로그 테이블에 대한 Lake Formation 권한을 부여 AWS CLI 할 수 있습니다. 개별 테이블에 권한을 부여하거나 단일 권한 부여 작업으로 데이터베이스의 모든 테이블에 권한을 부여할 수 있습니다.
데이터베이스의 모든 테이블에 대해 권한을 부여하면 데이터베이스에 대한 `DESCRIBE` 권한이 암시적으로 부여됩니다. 그러면 데이터베이스가 콘솔의 **데이터베이스** 페이지에 나타나고 `GetDatabases` API 작업에 의해 반환됩니다. 속성 기반 액세스 제어(ABAC)를 사용할 때는 자동 `DESCRIBE` 권한 부여가 적용되지 않습니다. 속성을 사용하여 데이터베이스의 모든 테이블에 권한을 부여할 때 Lake Formation은 데이터베이스에 암시적으로 `DESCRIBE` 권한을 부여하지 않습니다.
부여할 권한으로 `SELECT`를 선택하면 열 필터, 행 필터 또는 셀 필터를 적용할 수 있는 옵션이 제공됩니다.
------
#### [ Console ]
다음 단계는 명명된 리소스 방법과 Lake Formation 콘솔의 **데이터 레이크 권한 부여** 페이지를 사용하여 테이블 권한을 부여하는 방법을 설명합니다. 이 페이지는 다음과 같은 섹션으로 나뉘어 있습니다.
+ **보안 주체 유형** - 권한을 부여할 사용자, 역할, AWS 계정, 조직 또는 조직 단위입니다. 일치하는 속성을 가진 보안 주체에게 권한을 부여할 수도 있습니다.
+ **LF 태그 또는 카탈로그 리소스** - 권한을 부여할 데이터베이스, 테이블 또는 리소스 링크.
+ **권한** - 부여할 Lake Formation 권한.
**참고**
테이블 리소스 링크에 대한 권한을 부여하려면 [리소스 링크 권한 부여](granting-link-permissions.md) 섹션을 참조하세요.
1. 권한 부여 페이지를 엽니다.
[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) AWS Lake Formation 콘솔을 열고 데이터 레이크 관리자, 테이블 생성자 또는 권한 부여 옵션을 사용하여 테이블에 대한 권한이 부여된 사용자로 로그인합니다.
다음 중 하나를 수행하세요.
+ 탐색 창의 **권한**에서 **데이터 권한**을 선택합니다. 그런 다음 **권한 부여**를 선택합니다.
+ 탐색 창에서 **테이블**을 선택합니다. 그런 다음 **테이블** 페이지에서 테이블을 선택하고 **작업** 메뉴의 **권한**에서 **권한 부여**를 선택합니다.
**참고**
리소스 링크를 통해 테이블에 대한 권한을 부여할 수 있습니다. 이렇게 하려면 **테이블** 페이지에서 리소스 링크를 선택하고 **작업** 메뉴에서 **대상에 부여**를 선택합니다. 자세한 내용은 [Lake Formation에서 리소스 링크가 작동하는 방식](resource-links-about.md) 단원을 참조하십시오.
1. 다음으로 **보안 주체 유형** 섹션에서 일치하는 속성을 가진 보안 주체 또는 보안 주체를 지정하여 권한을 부여합니다.
**IAM 사용자 및 역할**
**IAM 사용자 및 역할** 목록에서 하나 이상의 사용자 또는 역할을 선택합니다.
**IAM Identity Center**
**사용자 및 그룹** 목록에서 하나 이상의 사용자 또는 그룹을 선택합니다.
**SAML 사용자 및 그룹**
**SAML 및 빠른 사용자 및 그룹의** 경우 SAML을 통해 페더레이션된 사용자 또는 그룹의 경우 하나 이상의 Amazon 리소스 이름(ARNs)을 입력하고 빠른 사용자 또는 그룹의 경우 ARNs 입력합니다. 각 ARN을 입력한 후에 Enter 키를 누릅니다.
ARN을 구성하는 방법에 대한 자세한 내용은 [Lake Formation 권한 부여 및 취소 AWS CLI 명령](lf-permissions-reference.md#perm-command-format) 섹션을 참조하세요.
Quick과의 Lake Formation 통합은 Quick Enterprise Edition에서만 지원됩니다.
**외부 계정**
**AWS 계정 , AWS organization** 또는 **IAM 보안 주체**에 IAM 사용자 또는 역할에 대한 하나 이상의 AWS 계정 IDs, 조직 IDs, 조직 단위 IDs 또는 ARN을 입력합니다. 각 ID를 입력한 후에 **Enter** 키를 누릅니다.
조직 ID는 'o-'와 10\$132개의 소문자 또는 숫자로 구성됩니다.
조직 단위 ID는 'ou-'로 시작하고 뒤에 4\$132개의 소문자 또는 숫자가 옵니다(OU가 포함된 루트의 ID). 이 문자열 뒤에는 두 번째 '-' 문자와 8\$132개의 추가 소문자 또는 숫자가 옵니다.
속성별 보안 주체
속성 키와 값을 지정합니다. 값을 2개 이상 선택하면 OR 연산자가 포함된 속성 표현식이 생성됩니다. 즉, IAM 역할 또는 사용자에게 할당된 속성 태그 값이 일치하는 경우 역할/사용자는 리소스에 대한 액세스 권한을 얻습니다.
동일한 계정 또는 다른 계정에서 일치하는 속성을 가진 보안 주체에 권한을 부여하는지를 지정하여 권한 범위를 선택합니다.
1. **LF 태그 또는 카탈로그 리소스** 섹션에서 데이터베이스를 선택합니다. 그런 다음 테이블을 하나 이상 선택하거나 **모든 테이블**을 선택합니다.
![\[LF 태그 또는 카탈로그 리소스 섹션에는 가로로 배열된 두 개의 타일이 있으며, 각 타일에는 옵션 버튼과 설명 텍스트가 있습니다. 옵션은 LF 태그와 일치하는 리소스 및 명명된 데이터 카탈로그 리소스입니다. 명명된 데이터 카탈로그 리소스가 선택됩니다. 타일 아래에는 데이터베이스와 테이블이라는 두 개의 드롭다운 목록이 있습니다. 데이터베이스 드롭다운 목록 아래에는 선택한 데이터베이스 이름이 포함된 타일이 있습니다. 테이블 드롭다운 목록 아래에는 선택한 테이블 이름이 포함된 타일이 있습니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/grant-target-resources-tables-section-2.png)
1.
**데이터 필터링 없이 권한을 지정합니다.**
**권한** 섹션에서 부여할 테이블 권한을 선택하고, 선택 사항으로 부여 가능한 권한을 선택합니다.
![\[테이블 및 열 권한 섹션에는 테이블 권한과 부여 가능한 권한이라는 두 개의 하위 섹션이 있습니다. 각 하위 섹션에는 가능한 각 Lake Formation 권한(변경, 삽입, 삭제, 삭제, 선택, 설명 및 슈퍼)에 대한 확인란이 있습니다. 슈퍼 권한은 다른 권한의 오른쪽에 배치되어 있으며 "이 권한을 사용하면 보안 주체가 왼쪽에 있는 모든 권한을 부여할 수 있으며 부여 가능한 권한을 대체합니다."라는 설명이 있습니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/grant-table-permissions-section-no-filter.png)
**선택** 권한을 부여하면 **테이블 및 열 권한** 섹션 아래에 **데이터 권한** 섹션이 나타납니다. 기본적으로 **모든 데이터 액세스** 옵션이 선택되어 있습니다. 기본값을 수락합니다.
![\[섹션에는 가로로 배열된 세 개의 타일이 있으며 각 타일에는 옵션 버튼과 설명이 있습니다. 옵션 버튼은 모든 데이터 액세스(선택됨), 단순 열 기반 액세스 및 고급 셀 수준 필터입니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/grant-select-all-data-access.png)
1. **권한 부여**를 선택합니다.
1.
**데이터 필터링과 함께 **선택** 권한을 지정합니다.**
**선택** 권한을 선택합니다. 다른 권한은 선택하지 마세요.
**데이터 권한** 섹션은 **테이블 및 열 권한** 섹션 아래에 표시됩니다.
1. 다음 중 하나를 수행하세요.
+ 단순 열 필터링만 적용합니다.
1. **단순 열 기반 액세스**를 선택합니다.
![\[상단 섹션은 테이블 및 열 권한 섹션입니다. 이에 대해서는 이전 스크린샷에 설명되어 있습니다. 여기에는 테이블 권한 및 부여 가능한 권한에 대한 확인란이 포함되어 있습니다. 하단 섹션인 데이터 권한에는 가로로 배열된 세 개의 타일이 있으며, 각 타일에는 옵션 버튼과 설명이 있습니다. 옵션 버튼은 모든 데이터 액세스, 단순 열 기반 액세스 및 고급 셀 수준 필터입니다. 단순 열 기반 액세스 옵션이 선택되어 있습니다. 타일 아래에는 권한 필터 선택이라는 레이블이 지정된 옵션 버튼 그룹이 있습니다. 옵션으로 열 포함과 열 제외가 있습니다. 옵션 그룹 아래에는 열 선택 드롭다운 목록이 있고 그 아래에는 '선택'이라는 단일 확인란이 있는 부여 가능한 권한 하위 섹션이 있습니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/grant-table-permissions-section-column-filter.png)
1. 열을 포함할지 제외할지 선택한 다음 포함하거나 제외할 열을 선택합니다.
외부 AWS 계정 또는 조직에 권한을 부여할 때는 포함 목록만 지원됩니다.
1. (선택 사항) **부여 가능한 권한**에서 선택 권한에 대한 권한 부여 옵션을 설정합니다.
권한 부여 옵션을 포함하는 경우 권한 부여 수신자는 사용자가 부여한 열에 대한 권한만 부여할 수 있습니다.
**참고**
열 필터를 지정하고 모든 행을 행 필터로 지정하는 데이터 필터를 생성하는 경우 열 필터링을 적용할 수도 있습니다. 하지만 이렇게 하려면 더 많은 단계가 필요합니다.
+ 열, 행 또는 셀 필터링을 적용합니다.
1. **고급 셀 수준 필터**를 선택합니다.
![\[데이터 권한이라는 제목의 이 섹션은 테이블 권한 섹션 아래에 있습니다. 세 개의 타일이 가로로 배열되어 있으며, 각 타일에는 옵션 버튼과 설명이 있습니다. 옵션 버튼은 모든 데이터 액세스, 단순 열 기반 액세스 및 고급 셀 수준 필터입니다. 고급 셀 수준 필터 옵션이 선택되어 있습니다. 타일 아래 왼쪽에는 노출 삼각형과 함께 기존 권한 보기라는 레이블이 있습니다. 기존 권한은 노출되어 있지 않습니다. 아래에는 부여할 데이터 필터라는 제목의 섹션이 있습니다. 제목 오른쪽에는 새로 고침, 필터 관리, 새 필터 생성이라는 세 개의 버튼이 있습니다. 제목과 버튼 아래에는 '필터 찾기'라는 자리 표시자 텍스트가 있는 텍스트 필드가 있습니다. 그 아래에는 기존 필터의 테이블이 있습니다. 각 행의 맨 왼쪽에는 확인란이 있습니다. 열 제목은 필터 이름, 테이블, 데이터베이스, 테이블 카탈로그 ID입니다. 두 개의 행이 있습니다. 첫 번째 행의 필터 이름은 restrict-pharma입니다. 두 번째 행의 필터 이름은 no-pharma입니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/grant-table-permissions-section-cell-filter.png)
1. (선택 사항) **기존 권한 보기**를 확장합니다.
1. (선택 사항) **새 필터 생성**을 선택합니다.
1. (선택 사항) 나열된 필터의 세부 정보를 보거나 새 필터를 생성하거나 기존 필터를 삭제하려면 **필터 관리**를 선택합니다.
새 브라우저 창에 **데이터 필터** 페이지가 열립니다.
**데이터 필터** 페이지에서 작업을 마쳤으면 **권한 부여** 페이지로 돌아가서 필요한 경우 페이지를 새로 고쳐 새로 생성한 데이터 필터를 확인합니다.
1. 권한 부여에 적용할 데이터 필터를 하나 이상 선택합니다.
**참고**
목록에 데이터 필터가 없다면 선택한 테이블에 대해 생성된 데이터 필터가 없는 것입니다.
1. **권한 부여**를 선택합니다.
------
#### [ AWS CLI ]
명명된 리소스 방법과 AWS Command Line Interface (AWS CLI)를 사용하여 테이블 권한을 부여할 수 있습니다.
**를 사용하여 테이블 권한을 부여하려면 AWS CLI**
+ `grant-permissions` 명령을 실행하고 테이블을 리소스로 지정합니다.
**Example - 단일 테이블에 대해 권한 부여 - 필터링 없음**
다음 예제에서는 데이터베이스 `datalake_user1`의 테이블에 있는 AWS 계정 1111-2222-3333`inventory`의 `ALTER` 사용자에게 `SELECT` 및를 부여합니다`retail`.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```
등록된 위치에 기본 데이터가 있는 테이블에 `ALTER` 권한을 부여하는 경우 해당 위치에 대한 데이터 위치 권한도 보안 주체에 부여해야 합니다. 자세한 내용은 [데이터 위치 권한 부여](granting-location-permissions.md) 단원을 참조하십시오.
**Example - 권한 부여 옵션을 사용하여 모든 테이블에 대해 권한 부여 - 필터링 없음**
다음 예제는 데이터베이스 `retail`의 모든 테이블에 대해 권한 부여 옵션을 사용하여 `SELECT` 권한을 부여합니다.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```
**Example - 간단한 열 필터링을 통해 권한 부여**
다음 예제는 `persons` 테이블에 있는 열의 하위 집합에 대해 `SELECT` 권한을 부여합니다. 여기서는 간단한 열 필터링을 사용합니다.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
```
**Example - 데이터 필터를 통해 권한 부여**
이 예제는 `orders` 테이블에 대해 `SELECT` 권한을 부여하고 `restrict-pharma` 데이터 필터를 적용합니다.
```
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
```
다음은 `grant-params.json` 파일의 내용입니다.
```
{
"Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
"Resource": {
"DataCellsFilter": {
"TableCatalogId": "111122223333",
"DatabaseName": "sales",
"TableName": "orders",
"Name": "restrict-pharma"
}
},
"Permissions": ["SELECT"],
"PermissionsWithGrantOption": ["SELECT"]
}
```
------
**다음 사항도 참조하세요.**
[Lake Formation 권한 개요](lf-permissions-overview.md)
[Lake Formation의 데이터 필터링 및 셀 수준 보안](data-filtering.md)
[Lake Formation 페르소나 및 IAM 권한 참조](permissions-reference.md)
[리소스 링크 권한 부여](granting-link-permissions.md)
[공유 데이터 카탈로그 테이블 및 데이터베이스 액세스 및 보기](viewing-shared-resources.md)
# 명명된 리소스 방법을 사용하여 뷰에 대한 권한 부여
다음 단계는 명명된 리소스 메서드와 **권한 부여** 페이지를 사용하여 보기에 대한 권한을 부여하는 방법을 설명합니다. 이 페이지는 다음과 같은 섹션으로 구성되어 있습니다.
+ **보안 주체 유형** - 권한을 부여할 IAM 사용자, 역할, IAM Identity Center 사용자 및 그룹 AWS 계정, 조직 또는 조직 단위입니다. 일치하는 속성을 가진 보안 주체에게 권한을 부여할 수도 있습니다.
+ **LF 태그 또는 카탈로그 리소스** - 권한을 부여할 데이터베이스, 테이블, 뷰 또는 리소스 링크입니다.
+ **권한** - 부여할 데이터 레이크 권한입니다.
## **권한 부여** 페이지 열기
1. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) AWS Lake Formation 콘솔을 열고 데이터 레이크 관리자, 데이터베이스 생성자 또는 데이터베이스에 **대한 부여 가능한 권한이** 있는 IAM 사용자로 로그인합니다.
1. 다음 중 하나를 수행하세요.
+ 탐색 창의 **권한**에서 **데이터 권한**을 선택합니다. 그런 다음 **권한 부여**를 선택합니다.
+ 탐색 창의 **데이터 카탈로그**에서 **뷰**를 선택합니다. 그런 다음 **뷰** 페이지에서 뷰를 선택하고 **작업** 메뉴의 **권한**에서 **권한 부여**를 선택합니다.
**참고**
리소스 링크를 통해 뷰에 대한 권한을 부여할 수 있습니다. 이렇게 하려면 **뷰** 페이지에서 리소스 링크를 선택하고 **작업** 메뉴에서 **대상에 부여**를 선택합니다. 자세한 내용은 [Lake Formation에서 리소스 링크가 작동하는 방식](resource-links-about.md) 단원을 참조하십시오.
## 보안 주체 유형 지정
**보안 주체 유형** 섹션에서 보안 주체 또는 속성별 보안 주체를 선택합니다. 보안 주체를 선택하면 다음 옵션을 사용할 수 있습니다.
**IAM 사용자 및 역할**
**IAM 사용자 및 역할** 목록에서 하나 이상의 사용자 또는 역할을 선택합니다.
**IAM Identity Center **
**사용자 및 그룹** 목록에서 하나 이상의 사용자 또는 그룹을 선택합니다.
**SAML 사용자 및 그룹**
**SAML 및 빠른 사용자 및 그룹의** 경우 SAML을 통해 페더레이션된 사용자 또는 그룹의 경우 하나 이상의 Amazon 리소스 이름(ARNs)을 입력하고 Amazon Quick 사용자 또는 그룹의 경우 ARNs 입력합니다. 각 ARN을 입력한 후에 Enter 키를 누릅니다.
ARN을 구성하는 방법에 대한 자세한 내용은 [Lake Formation 권한 부여 및 취소 AWS CLI 명령](lf-permissions-reference.md#perm-command-format) 섹션을 참조하세요.
Quick과의 Lake Formation 통합은 Quick Enterprise Edition에서만 지원됩니다.
**외부 계정**
**AWS 계정, AWS organization** 또는 **IAM 보안 주체**에 IAM 사용자 또는 역할에 유효한 계정 IDs, 조직 IDs, 조직 단위 IDs 또는 ARN을 하나 이상 AWS 입력합니다. 각 ID를 입력한 후에 **Enter** 키를 누릅니다.
조직 ID는 'o-'와 10\$132개의 소문자 또는 숫자로 구성됩니다.
조직 단위 ID는 'ou-'로 시작하고 뒤에 4\$132개의 소문자 또는 숫자가 옵니다(OU가 포함된 루트의 ID). 이 문자열 뒤에는 두 번째 '-' 대시와 8\$132개의 추가 소문자 또는 숫자가 옵니다.
**참고**
+ [공유 데이터 카탈로그 테이블 및 데이터베이스 액세스 및 보기](viewing-shared-resources.md)
**속성별 보안 주체**
속성 키와 값을 지정합니다. 값을 2개 이상 선택하면 OR 연산자가 포함된 속성 표현식이 생성됩니다. 즉, IAM 역할 또는 사용자에게 할당된 속성 태그 값이 일치하는 경우 역할/사용자는 리소스에 대한 액세스 권한을 얻습니다.
동일한 계정 또는 다른 계정에서 일치하는 속성을 가진 보안 주체에 권한을 부여하는지를 지정하여 권한 범위를 선택합니다.
## 뷰를 지정합니다.
**LF 태그 또는 카탈로그 리소스** 섹션에서 권한을 부여할 뷰를 하나 이상 선택합니다.
1. **명명된 데이터 카탈로그 리소스**를 선택합니다.
1. **뷰** 목록에서 하나 이상의 뷰를 선택합니다. 하나 이상의 카탈로그, 데이터베이스, 테이블 및/또는 데이터 필터를 선택할 수도 있습니다.
데이터베이스 내 `All tables`에 데이터 레이크 권한을 부여하면 부여받은 사람은 데이터베이스 내의 모든 테이블과 뷰에 대한 권한을 갖게 됩니다.
## 권한 지정
**권한** 섹션에서 권한 및 부여 가능한 권한을 선택합니다.
![\[권한 섹션에는 보기 권한을 부여할 수 있는 확인란 그룹이 있습니다. 확인란에는 선택, 설명, 삭제, 슈퍼 등이 있습니다. 해당 그룹 아래에는 부여 가능한 권한을 위한 동일한 확인란으로 구성된 또 다른 그룹이 있습니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/view-permissions.png)
1. **권한 보기**에서 부여할 권한을 하나 이상 선택합니다.
1. (선택 사항) **부여 가능한 권한**에서 권한 부여 수신자가 AWS 계정의 다른 보안 주체에 부여할 수 있는 권한을 선택합니다. 외부 계정에서 IAM 보안 주체에 권한을 부여하는 경우에는 이 옵션이 지원되지 않습니다.
1. **권한 부여**를 선택합니다.
**참고**
[Lake Formation 권한 참조](lf-permissions-reference.md)
[계정과 공유되는 데이터베이스 또는 테이블에 대한 권한 부여](regranting-shared-resources.md)